Algemeen
zijn de presentaties later, voor mijn collega's die er nu niet bij zijn, terug te kijken?
De presentaties worden na het event gemaild naar mensen die zich hebben aangemeld.
Keynote Esther Makaay
Hoe ziet ze link tussen authenticatie en de identity, zeker nu die losser van elkaar komen te staan?
Eshter via Raoul Teeuwen of Femke Morsch
Authenticatie impliceert nu ook een vaak een vorm van autorisatie (Ik log in vanuit een een instelling, daarmee 'ben' ik impliciet) van de instelling. Hoe ziet Esther dat?
Eshter via Raoul Teeuwen of Femke Morsch
eduID
gast-onderzoekers moeten die dan ook edu-id gebruiken?
Is er bij eduID ook een vraag om een e-portfolio (centraal) te gebruiken?
Peter, kun je al iets zeggen over een eduID systeem op Europees niveau?
Peter, staat mbo ook op de stoep?
Peter, een instelling account is een 'vertrouwd' account, eduID een gast account, hoe krijg je daar vertrouwen in?
SRAM
Kan ik sram nu ook al gebruiken als instelling?
Federatieve toegang voor bibliotheken
Bij welke Rotterdamse bibliotheek werkt de huidige gast? Erasmus of de (Centrale) openbare bibliotheek?
Iets andere vraag van maken denk ik. Wil jij dit oppakken Raoul Teeuwen ?
Zijn de hogeschoolbibliotheken al aangesloten?
Hoe staan Uitgevers hierin? Zijn hier contacten mee?
Microsoft Azure AD, SURFconext en/of SURFsecureID: best of both worlds
Remote vetting voor SecureID?
Is er een mogelijkheid voor een gebruiker om in SURFsecureID van een gevet SMS token te migreren naar een Tiqr of Azure MFA token zonder het vetting proces opnieuw te doorlopen?
Wij zijn bezig met het aansluiten van SURFSecureID op onze Azure omgeving voor MFA. Zelf geven jullie in onze mail communicatie aan dat ADFS nodig blijft voor het aanzetten hiervan. Echter wordt er in deze presentatie gesproken over ADFS OF AzureAD.
MFA in Azure AD: hebben jullie good practices?
kijken jullie naar een native integratie van Surf Secure ID als een custom control in Azure AD conditional access, zodat we ADFS bij die integratie over kunnen slaan en Surf Secure als Azure AD MFA kunnen gebruiken
Toekomstbestendig en te adviseren autorisatie-protocol (OAuth2, Kerberos, ..)
De in onze federatie ingezette protocollen hebben een grote tractie wereldwijd: SAML 2.0, OpenID Connect en OAuth zijn industry standard ook buiten de onderwijscommunity. SAML wordt veel gebruikt in enterprise-producten maar is bijvoorbeeld ook de basis van DigiD en Ideal. OpenID Connect is het onderliggende protocol dat ook gebruikt wordt door grote partijen als Google en Apple voor hun authenticatieplatforms, en OAuth is feitelijk de enige standaard op API's af te schermen.
SURFconext, SURFsecureID en SRAM zijn SaaS-platforms die als-authenticatie proxy optreden en protocoltranslatie eenvoudig mogelijk maken. Zo hebben we al laten zien dat we OpenID Connect kunnen introduceren als koppelvlak zonder dat instellingen hun Identity Provider hebben hoeven aan te passen. Op een verwante wijze kan SURFsecureID ondersteuning voor FIDO2-tokens en Azure MFA toevoegen ook weer zonder dat Service- en Identity Providers kun koppelingen hoeven aan te passen. We denken daarmee een wendbare opzet te hebben die de gangbare protocollen ondersteunt maar juist ook de transitie naar nieuwe protocollen kan faciliteren.
Als we nu TIQR ingezet hebben op SecureID, kan de AzureMFA dan naast TIQR worden geregistreerd of dient de TIQR token dan vervangen te worden?
Is SSID onafhankelijk van Surfconext?
Overstappen van simpleSAMLphp naar ADFS of Azure AD?
SURFconext is gebaseerd op open standaarden en dat biedt de instellingen de vrijheid zelf de software en systemen te kiezen die passen in hun IT-architectuur. We adviseren daarom per definitie niet een bepaald product. Er zijn meer dan tien verschillende softwareproducten in gebruik bij IdP's, en zowel simpleSAMLphp als ADFS als Azure wordt elk succesvol gebruikt door tientallen instellingen, en bij elk van die producten zijn het zowel heel grote en juist ook kleine instellingen die het gebruiken. Er dus dus geen advies dat een bepaald product in het algemeen 'beter' zou zijn.
Overstappen van Identity Provider-software is overigens in de regel een overzichtelijke procedure zolang de oude en de nieuwe implementatie dezelfde attribuutwaarden blijven vrijgeven voor de gebruikers. Zijn er moverende redenen om die attribuutwaarden te willen wijzigen, dan kan het SURFconext-team consultancy bieden bij de overgang.